Menyebarkan Azure Spring Apps di jaringan virtual

Catatan

Azure Spring Apps adalah nama baru untuk layanan Azure Spring Cloud. Meskipun layanan memiliki nama baru, Anda akan melihat nama lama di beberapa tempat untuk sementara saat kami berupaya memperbarui aset seperti cuplikan layar, video, dan diagram.

Artikel ini berlaku untuk: ✔️ Java ✔️ C#

Artikel ini berlaku untuk:❌ Basic ✔️ Standard ✔️ Enterprise

Tutorial ini menjelaskan cara menyebarkan instans Azure Spring Apps di jaringan virtual Anda. Penyebaran ini kadang-kadang disebut injeksi VNet.

Penyebaran memungkinkan:

• Isolasi aplikasi Azure Spring Apps dan runtime layanan dari internet di jaringan perusahaan Anda.
• Interaksi Azure Spring Apps dengan sistem di pusat data lokal atau layanan Azure di jaringan virtual lainnya.
• Pemberdayaan pelanggan guna mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Apps.

Video berikut menjelaskan cara mengamankan aplikasi Spring Boot menggunakan jaringan virtual terkelola.

Catatan

Anda dapat memilih jaringan virtual Azure hanya saat membuat instans layanan Azure Spring Apps baru. Anda tidak dapat mengubah untuk menggunakan jaringan virtual lain setelah Azure Spring Apps dibuat.

Prasyarat

Daftarkan penyedia Microsoft.AppPlatform sumber daya Azure Spring Apps dan Microsoft.ContainerService sesuai dengan instruksi di Mendaftarkan penyedia sumber daya di portal Azure atau dengan menjalankan perintah Azure CLI berikut:

az provider register --namespace Microsoft.AppPlatform
az provider register --namespace Microsoft.ContainerService

Persyaratan jaringan virtual

Jaringan virtual tempat Anda menerapkan instans Azure Spring Apps harus memenuhi persyaratan berikut:

• Lokasi: Jaringan virtual harus berada di lokasi yang sama dengan instans Azure Spring Apps.
• Langganan: Jaringan virtual harus dalam langganan yang sama dengan instans Azure Spring Apps.
• Subnet: Jaringan virtual harus menyertakan dua subnet yang didedikasikan untuk instans Azure Spring Apps:
  • Satu untuk runtime layanan.
  • Satu untuk aplikasi Spring Anda.
  • Ada hubungan one-to-one antara subnet ini dan instans Azure Spring Apps. Gunakan subnet baru untuk setiap instans layanan yang Anda terapkan. Setiap subnet hanya dapat menyertakan satu instans layanan.
• Ruang alamat: CIDR memblokir hingga /28 untuk subnet runtime layanan dan subnet aplikasi Spring.
• Tabel rute: Secara default subnet tidak memerlukan tabel rute yang ada yang terkait. Anda dapat membawa tabel rute sendiri.

Gunakan langkah-langkah berikut untuk menyiapkan jaringan virtual agar berisi instans Azure Spring Apps.

Membuat jaringan virtual

Portal Azure

Jika Anda sudah memiliki jaringan virtual untuk menghosting instans Azure Spring Apps, lewati langkah 1, 2, dan 3. Anda dapat mulai dari langkah 4 untuk menyiapkan subnet untuk jaringan virtual.

1. Pada menu portal Azure, pilih Buat sumber daya. Dari Azure Marketplace, pilih Jaringan>Jaringan virtual.

2. Di kotak dialog Buat jaringan virtual, masukkan atau pilih informasi berikut:

   Pengaturan	Nilai
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih grup sumber daya Anda, atau buat yang baru.
   Nama	Masukkan azure-spring-apps-vnet.
   Lokasi	Pilih AS Timur.

3. Pilih Selanjutnya: Alamat IP.

4. Untuk ruang alamat IPv4, masukkan 10.1.0.0/16.

5. Pilih Tambahkan Subnet. Lalu, masukkan service-runtime-subnet untuk Nama subnet dan masukkan 10.1.0.0/24 untuk Rentang alamat subnet. Kemudian pilih Tambahkan.

6. Pilih Tambahkan subnet lagi, lalu masukkan nama subnet dan rentang alamat subnet. Misalnya, masukkan apps-subnet dan 10.1.1.0/24. Kemudian pilih Tambahkan.

7. Pilih Tinjau + buat. Biarkan sisanya sebagai default, dan pilih Buat.

Azure CLI

Jika Anda sudah memiliki jaringan virtual untuk menghosting instans Azure Spring Apps, lewati langkah 1, 2, 3, dan 4. Anda dapat mulai dari langkah 5 untuk menyiapkan subnet untuk jaringan virtual.

1. Gunakan perintah berikut untuk menentukan variabel untuk langganan, grup sumber daya, dan instans Azure Spring Apps Anda. Sesuaikan nilai berdasarkan lingkungan Anda yang sebenarnya.

   export SUBSCRIPTION='<subscription-id>'
   export RESOURCE_GROUP='<resource-group-name>'
   export LOCATION='eastus'
   export AZURE_SPRING_APPS_INSTANCE_NAME='<Azure-Spring-Apps-Instance-name>'
   export VIRTUAL_NETWORK_NAME='azure-spring-apps-vnet'
   

2. Gunakan perintah berikut untuk masuk ke Azure CLI dan pilih langganan aktif Anda.

   az login
   az account set --subscription ${SUBSCRIPTION}
   

3. Gunakan perintah berikut untuk membuat grup sumber daya untuk sumber daya Anda:

   az group create --name $RESOURCE_GROUP --location $LOCATION
   

4. Gunakan perintah berikut untuk membuat jaringan virtual:

   az network vnet create \
       --resource-group $RESOURCE_GROUP \
       --name $VIRTUAL_NETWORK_NAME \
       --location $LOCATION \
       --address-prefix 10.1.0.0/16
   

5. Gunakan perintah berikut untuk membuat dua subnet di jaringan virtual ini:

   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.0.0/24 \
       --name service-runtime-subnet 
   az network vnet subnet create \
       --resource-group $RESOURCE_GROUP \
       --vnet-name $VIRTUAL_NETWORK_NAME \
       --address-prefixes 10.1.1.0/24 \
       --name apps-subnet 
   

Berikan izin layanan ke jaringan virtual

Bagian ini menunjukkan kepada Anda untuk memberi Azure Spring Apps izin Pemilik di jaringan virtual Anda. Izin ini memungkinkan Anda memberikan perwakilan layanan khusus dan dinamis di jaringan virtual untuk penyebaran dan pemeliharaan lebih lanjut.

Catatan

Izin minimal yang diperlukan adalah Administrator Akses Pengguna dan Kontributor Jaringan. Anda dapat memberikan penetapan peran kepada keduanya jika Anda tidak dapat memberikan Owner izin.

Jika Anda menggunakan tabel rute Anda sendiri atau fitur rute yang ditentukan pengguna, Anda juga perlu memberi Azure Spring Apps penetapan peran yang sama ke tabel rute Anda. Untuk informasi selengkapnya, lihat bagian Bawa tabel rute Anda sendiri dan Mengontrol lalu lintas keluar untuk instans Azure Spring Apps.

Portal Azure

Gunakan langkah-langkah berikut untuk memberikan izin:

1. Pilih jaringan azure-spring-apps-vnet virtual yang sebelumnya Anda buat.

2. Pilih Kontrol akses (IAM), lalu pilih Tambahkan>Tambahkan penetapan peran.

   

3. Tetapkan peran ke Owner Penyedia Sumber Daya Azure Spring Apps. Untuk informasi selengkapnya, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

   Catatan

   Jika Anda tidak menemukan Penyedia Sumber Daya Azure Spring Apps, cari Penyedia Sumber Daya Azure Spring Cloud.

   

Azure CLI

Gunakan perintah berikut untuk memberikan izin:

export VIRTUAL_NETWORK_RESOURCE_ID=$(az network vnet show \
    --resource-group $RESOURCE_GROUP \
    --name $VIRTUAL_NETWORK_NAME \
    --query "id" \
    --output tsv)

az role assignment create \
    --role "Owner" \
    --scope ${VIRTUAL_NETWORK_RESOURCE_ID} \
    --assignee e8de9221-a19c-4c81-b814-fd37c6caf9d2

Argumen --assignee mewakili perwakilan layanan yang digunakan Azure Spring Apps untuk berinteraksi dengan jaringan virtual pelanggan.

Menyebarkan instan Azure Spring Apps

Portal Azure

Gunakan langkah-langkah berikut untuk menyebarkan instans Azure Spring Apps di jaringan virtual:

1. Buka portal Microsoft Azure.

2. Dari kotak pencarian teratas, cari Azure Spring Apps. Pilih Azure Spring Apps dari hasil tersebut.

3. Di halaman Azure Spring Apps, pilih Tambahkan.

4. Isi formulir di halaman Buat Azure Spring Apps.

5. Pilih grup dan wilayah sumber daya yang sama dengan jaringan virtual.

6. Untuk Nama di bawah Detail Layanan, pilih azure-spring-apps-vnet.

7. Pilih tab Jaringan, dan pilih nilai berikut:

   Pengaturan	Nilai
   Sebarkan di jaringan virtual Anda sendiri	Pilih Ya.
   Jaringan virtual	Pilih azure-spring-apps-vnet.
   Subnet waktu proses layanan	Pilih service-runtime-subnet.
   Subnet aplikasi layanan mikro Spring Boot	Pilih subnet aplikasi.

   

8. Pilih Tinjau dan buat.

9. Verifikasi spesifikasi Anda, dan pilih Buat.

   

Azure CLI

Untuk menyebarkan instans Azure Spring Apps di jaringan virtual:

Gunakan perintah berikut untuk membuat instans Azure Spring Apps Anda, menentukan jaringan virtual dan subnet yang Anda buat sebelumnya:

az spring create  \
    --resource-group "$RESOURCE_GROUP" \
    --name "$AZURE_SPRING_APPS_INSTANCE_NAME" \
    --vnet $VIRTUAL_NETWORK_NAME \
    --service-runtime-subnet service-runtime-subnet \
    --app-subnet apps-subnet \
    --enable-java-agent \
    --sku standard \
    --location $LOCATION

Setelah penyebaran, dua grup sumber daya lagi dibuat di langganan Anda untuk menghosting sumber daya jaringan untuk instans Azure Spring Apps. Buka Beranda, lalu pilih Grup sumber daya dari item menu teratas untuk menemukan grup sumber daya baru berikut.

Grup sumber daya bernama berisi ap-svc-rt_{service instance name}_{service instance region} sumber daya jaringan untuk runtime layanan instans layanan.

Grup sumber daya bernama berisi ap-app_{service instance name}_{service instance region} sumber daya jaringan untuk aplikasi Spring instans layanan Anda.

Sumber daya jaringan tersebut terhubung ke jaringan virtual Anda yang dibuat pada gambar sebelumnya.

Penting

Grup sumber daya sepenuhnya dikelola oleh layanan Azure Spring Apps. Jangan menghapus atau mengubah sumber daya apa pun di dalamnya secara manual.

Menggunakan rentang subnet yang lebih kecil

Tabel ini menunjukkan jumlah maksimum instans aplikasi yang didukung Azure Spring Apps menggunakan rentang subnet yang lebih kecil.

CIDR subnet aplikasi	Total IP	IP yang tersedia	Instans aplikasi maksimum
/28	16	8	Aplikasi dengan 0,5 core: 192 Aplikasi dengan satu inti: 96 Aplikasi dengan dua inti: 48 Aplikasi dengan tiga inti: 32 Aplikasi dengan empat inti: 24
/27	32	24	Aplikasi dengan 0,5 core: 456 Aplikasi dengan satu inti: 228 Aplikasi dengan dua inti: 144 Aplikasi dengan tiga inti: 96 Aplikasi dengan empat inti: 72
/26	64	56	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 336 Aplikasi dengan tiga inti: 224 Aplikasi dengan empat inti: 168
/25	128	120	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 500 Aplikasi dengan tiga inti: 480 Aplikasi dengan empat inti: 360
/24	256	248	Aplikasi dengan 0,5 core: 500 Aplikasi dengan satu inti: 500 Aplikasi dengan dua inti: 500 Aplikasi dengan tiga inti: 500 Aplikasi dengan empat inti: 500

Untuk subnet, Azure mencadangkan lima alamat IP, dan Azure Spring Apps memerlukan setidaknya tiga alamat IP. Setidaknya sembilan alamat IP diperlukan, jadi /29 dan /30 tidak beroperasi.

Untuk subnet runtime layanan, ukuran minimumnya adalah /28.

Catatan

Rentang subnet kecil berdampak pada sumber daya yang mendasar yang dapat Anda gunakan untuk komponen sistem seperti pengontrol ingress. Azure Spring Apps menggunakan pengontrol ingress yang mendasar untuk menangani manajemen lalu lintas aplikasi. Jumlah instans pengontrol ingress secara otomatis meningkat saat lalu lintas aplikasi meningkat. Pesan rentang IP subnet jaringan virtual yang lebih besar jika lalu lintas aplikasi dapat meningkat di masa mendatang. Anda biasanya memesan satu alamat IP untuk lalu lintas 10000 permintaan per detik.

Membawa tabel rute Anda sendiri

Azure Spring Apps mendukung penggunaan subnet dan tabel rute yang ada.

Jika subnet kustom Anda tidak berisi tabel rute, Azure Spring Apps membuatnya untuk setiap subnet dan menambahkan aturan ke dalamnya sepanjang siklus hidup instans. Jika subnet kustom Anda berisi tabel rute, Azure Spring Apps mengakui tabel rute yang ada selama operasi instans dan menambahkan/memperbarui dan/atau mengatur sesuai untuk operasi.

Peringatan

Aturan khusus dapat ditambahkan ke tabel rute khusus dan diperbarui. Namun, aturan ditambahkan oleh Azure Spring Apps dan aturan ini tidak boleh diperbarui atau dihapus. Aturan seperti 0.0.0.0/0 harus selalu ada pada tabel rute tertentu dan memetakan target gateway internet Anda, seperti NVA atau gateway egress lainnya. Berhati-hatilah saat memperbarui aturan yang hanya dimodifikasi oleh aturan kustom Anda.

Persyaratan tabel rute

Tabel rute yang terkait dengan vnet khusus Anda harus memenuhi persyaratan berikut:

• Anda dapat menghubungkan tabel rute Azure dengan vnet hanya saat Anda membuat instans layanan Azure Spring Apps baru. Anda tidak dapat mengubah untuk menggunakan tabel rute lain setelah Azure Spring Apps dibuat.
• Baik subnet aplikasi layanan mikro maupun subnet runtime layanan harus dihubungkan dengan tabel rute yang berbeda atau selain dari keduanya.
• Izin harus diberikan sebelum pembuatan instans. Pastikan untuk memberikan izin kepada Penyedia Owner Sumber Daya Azure Spring Apps (atau User Access Administrator dan Network Contributor izin) pada tabel rute Anda.
• Anda tidak dapat memperbarui sumber daya tabel rute terkait setelah pembuatan kluster. Meskipun Anda tidak dapat memperbarui sumber daya tabel rute, Anda dapat mengubah aturan kustom pada tabel rute.
• Anda tidak dapat menggunakan kembali tabel rute dengan beberapa instans karena potensi aturan perutean yang bertentangan.

Menggunakan Server DNS Kustom

Azure Spring Apps mendukung penggunaan server DNS kustom di jaringan virtual Anda.

Jika Anda tidak menentukan server DNS kustom di pengaturan DNS Server Virtual Network Anda, Azure Spring Apps akan, secara default, menggunakan Azure DNS untuk mengatasi alamat IP. Jika jaringan virtual Anda dikonfigurasi dengan pengaturan DNS kustom, tambahkan IP 168.63.129.16 Azure DNS sebagai server DNS upstream di server DNS kustom. Azure DNS dapat mengatasi alamat IP untuk semua FQDN publik yang disebutkan dalam Tanggung jawab pelanggan yang menjalankan Azure Spring Apps di jaringan virtual. Ini juga dapat menyelesaikan alamat IP untuk *.svc.private.azuremicroservices.io di jaringan virtual Anda.

Jika server DNS kustom Anda tidak dapat menambahkan IP 168.63.129.16 Azure DNS sebagai server DNS upstream, gunakan langkah-langkah berikut:

• Pastikan server DNS kustom Anda dapat mengatasi alamat IP untuk semua FQDN publik. Untuk informasi selengkapnya, lihat Tanggung jawab pelanggan yang menjalankan Azure Spring Apps di jaringan virtual.
• Tambahkan catatan *.svc.private.azuremicroservices.io DNS ke IP aplikasi Anda. Untuk informasi selengkapnya, lihat bagian Temukan IP untuk aplikasi Anda di Mengakses aplikasi di Azure Spring Apps di jaringan virtual.

Langkah berikutnya

• Memecahkan masalah Azure Spring Apps di VNET
• Tanggung Jawab Pelanggan untuk Menjalankan Azure Spring Apps di VNET